Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

看板AntiVirus (防毒)作者 (便當俠)時間7年前 (2017/05/13 04:32), 7年前編輯推噓95(96167)
留言164則, 85人參與, 最新討論串7/25 (看更多)
※ 引述《leon19790602 (())》之銘言: : 來源:https://twitter.com/malwrhunterteam : MalwareHunterTeam表示 : WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統 : 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為: : Taiwan 注意:此方法只能預防不能治療 如果你的檔案已經開始被加密那就不用繼續看下去了 WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的 所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗 Windows 7/2008: 1.執行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters 底下新增 DWORD key SMB1, 其值為0 以下是新增動作示意圖 http://imgur.com/hOk0bkH
2. 重新開機 設定registry之前: EternalBlue可攻擊成功 http://imgur.com/RIF7cXJ
設定registry之後: EternalBlue攻擊失敗 http://imgur.com/izhUCbo
Windows 8以上: 1. 打開 command提示視窗、執行powershell 2. 執行 set-ExecutionPolicy Unrestricted 3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false 4. 出現問你要不要修改SMB Server Configuration的確認提示、選 Y (預設值、直接按Enter也可) 5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 來檢查是否設定成功 6. 重新開機 如果看不太懂上面的描述 可以參考下面的圖來輸入上面的指令 http://imgur.com/x4HoZrQ
Windows XP: 請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks 1. 開始 -> 設定 -> 控制台 -> 網路連線 2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容 3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消 4. 重新開機 (似乎沒必要、但保險起見還是重開吧) 關閉前: http://imgur.com/YD6J8eq
關閉後: http://imgur.com/5f85YBY
如果這服務你非用不可的話、那建議你還是換系統吧..... 不過還是奉勸大家 能安裝更新還是請盡快安裝 這只是救急法 而且只能阻擋利用此漏洞的病毒和Ransomeware 一但有變種出現你可能照樣會中招 另外關於EternalBlue的攻擊方式 可以參見我寫的簡單分析文章 有興趣的人可以看看 http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html 在此就先不浪費篇幅在這post了 -- 貧血軟派羅傑君 http://roger6.blogspot.tw 熱血系列粉絲團 http://www.facebook.com/KunioGame -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html

05/13 04:41, , 1F
不好意思,請問一下那直接升級win10就能預防嗎? 小
05/13 04:41, 1F

05/13 04:41, , 2F
弟win7 都有自動更新,目前應該沒事...
05/13 04:41, 2F

05/13 04:41, , 3F
Win10目前不會被攻擊
05/13 04:41, 3F

05/13 04:42, , 4F
這部是更新到10就沒事,這次是利用漏洞造成的,而且很多人
05/13 04:42, 4F

05/13 04:43, , 5F
不更新系統,平常又不備份,或者也不開防護,才會造成問題
05/13 04:43, 5F

05/13 04:43, , 6F
不好意思問一下 1月多更新 現在有必要補更新嗎 上次
05/13 04:43, 6F

05/13 04:43, , 7F
更新電腦好像死機
05/13 04:43, 7F

05/13 04:45, , 8F
我這篇寫的是不補更新的方法、要補更新的人請參考前文
05/13 04:45, 8F

05/13 04:47, , 9F
3月才把洞補起來,而你只更新到1月,你覺得危不危險
05/13 04:47, 9F

05/13 04:47, , 10F
好的
05/13 04:47, 10F

05/13 04:47, , 11F
所以說還是要先備份啊,感謝各位先進
05/13 04:47, 11F

05/13 04:47, , 12F
機器會當你要先確認是什麼原因造成,而不是怕當機就不更新
05/13 04:47, 12F

05/13 04:48, , 13F
總是要更新重要問題吧 雖然我也有更新到 還是怕怕的0rz
05/13 04:48, 13F

05/13 05:06, , 14F
05/13 05:06, 14F

05/13 05:11, , 15F
大大 請問win8是SMB1 false ,SMB2 true嗎?
05/13 05:11, 15F

05/13 05:11, , 16F
^改完後
05/13 05:11, 16F

05/13 05:13, , 17F
yes
05/13 05:13, 17F

05/13 05:19, , 18F
大大再請問一下 更新了之後 要再回來開啟SMB1嗎?
05/13 05:19, 18F

05/13 05:26, , 19F
不用改了,微軟早在去年就建議關閉了,除非你真的有需要
05/13 05:26, 19F

05/13 05:28, , 20F
想請問如何知道電腦有無中獎?在檔案尚未察覺被加密
05/13 05:28, 20F

05/13 05:28, , 21F
前,感謝
05/13 05:28, 21F

05/13 05:39, , 22F
MS:你們再罵win10強制自動更新嘛
05/13 05:39, 22F

05/13 06:08, , 23F
其實,如果沒有要開分享什麼的,可以直接關server service
05/13 06:08, 23F

05/13 06:28, , 24F
感謝原po的用心整理
05/13 06:28, 24F

05/13 06:42, , 25F
推推
05/13 06:42, 25F

05/13 07:17, , 26F
五月以前我也是停用更新 之前一更新就停在搜尋更新階
05/13 07:17, 26F

05/13 07:17, , 27F
段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正
05/13 07:17, 27F

05/13 07:17, , 28F
常了 怪乎 真是好險
05/13 07:17, 28F

05/13 07:37, , 29F
出現拒絕存取登錄機碼該?
05/13 07:37, 29F

05/13 07:59, , 30F
請問機碼設定完後 該從哪邊確認我有確實關閉SMB1 (win7)
05/13 07:59, 30F

05/13 07:59, , 31F
我用netstat 還是有445 不過是0.0.0.0 listening
05/13 07:59, 31F

05/13 08:03, , 32F
可以參考我另一篇文章 執行偵測程式來確定是否有關閉SMBv1
05/13 08:03, 32F

05/13 08:09, , 33F
感謝
05/13 08:09, 33F

05/13 08:16, , 34F
拒絕存取的是不是沒用系統管理員身分執行
05/13 08:16, 34F

05/13 08:18, , 35F
lol...用管理員也是寫拒絕存取
05/13 08:18, 35F

05/13 08:20, , 36F
感謝推
05/13 08:20, 36F

05/13 08:21, , 37F
管理員一樣
05/13 08:21, 37F

05/13 08:21, , 38F
想問vista要怎麼關smb1??
05/13 08:21, 38F

05/13 08:23, , 39F
沒推到 補脫
05/13 08:23, 39F
還有 86 則推文
還有 1 段內文
05/13 15:32, , 126F
找不到HKLM...原來是簡寫
05/13 15:32, 126F

05/13 15:53, , 127F
xp只要這樣就沒事囉
05/13 15:53, 127F

05/13 15:58, , 128F
已關閉,謝大大指導 :)
05/13 15:58, 128F

05/13 16:04, , 129F
感謝幫助
05/13 16:04, 129F

05/13 16:04, , 130F
請問我打開命令提示字元,無法打c:/tool?? win8.1
05/13 16:04, 130F

05/13 17:04, , 131F
HKeyLocalMachine
05/13 17:04, 131F

05/13 17:51, , 132F
謝謝 推推
05/13 17:51, 132F

05/13 18:06, , 133F
紅明顯 smb1還是true的狀態(win8.1)
05/13 18:06, 133F

05/13 18:07, , 134F
我想請問照您的指令下去做是不是沒有修改到任何設定呢
05/13 18:07, 134F

05/13 18:08, , 135F
第一個指令輸入後也要跳出詢問的訊息 也是一樣直接enter
05/13 18:08, 135F

05/13 18:08, , 136F
嗎?如果這樣是不是都沒修改到預設值嗎?
05/13 18:08, 136F

05/13 18:09, , 137F
懇請賜教
05/13 18:09, 137F

05/13 18:12, , 138F
沒事了所有是要以系統管理員身分執行?
05/13 18:12, 138F

05/13 18:13, , 139F
如果是這樣那就ok了 感謝您的用心
05/13 18:13, 139F

05/13 18:16, , 140F
感謝提供資訊
05/13 18:16, 140F

05/13 18:26, , 141F
升級Win10當然可以預防啊 因為關不掉更新
05/13 18:26, 141F

05/13 19:30, , 142F
想問這樣安全了嗎 還
05/13 19:30, 142F

05/13 19:30, , 143F
是還有可以加強的?
05/13 19:30, 143F

05/13 19:48, , 144F
暫時補強了 只剩安裝更新
05/13 19:48, 144F

05/13 20:00, , 145F
我是有安裝KB4019264更新了
05/13 20:00, 145F

05/13 20:46, , 146F
推推
05/13 20:46, 146F

05/13 21:16, , 147F
要關掉SMB卻出現這個訊息,是有
05/13 21:16, 147F

05/13 21:16, , 148F
什麼問題嗎?
05/13 21:16, 148F

05/13 22:20, , 149F
你這使用者可能沒有管理員權限
05/13 22:20, 149F

05/13 22:24, , 150F
我之前有照版上文章設定兩個使用者,所以我是要切換到有管
05/13 22:24, 150F

05/13 22:24, , 151F
理員權限的使用這再操作嗎?
05/13 22:24, 151F

05/13 22:37, , 152F
感謝您提供XP關掉SMB1的方法
05/13 22:37, 152F

05/13 23:52, , 153F
05/13 23:52, 153F

05/14 00:11, , 154F
謝謝分享 一生平安
05/14 00:11, 154F

05/14 01:18, , 155F
感謝英雄出手相助
05/14 01:18, 155F

05/14 03:28, , 156F
抱歉電腦白癡 win7重新開機後要如何知道有沒有關閉smb1成
05/14 03:28, 156F

05/14 03:28, , 157F
功 第2步驟是需要執行的嗎
05/14 03:28, 157F

05/14 09:00, , 158F
感謝分享 好人有好報
05/14 09:00, 158F

05/14 11:03, , 159F
感謝
05/14 11:03, 159F

05/14 12:20, , 160F
感謝大大.... 已關閉
05/14 12:20, 160F

05/14 20:01, , 161F
05/14 20:01, 161F

05/15 08:18, , 162F
謝謝imasa大的分享
05/15 08:18, 162F

05/15 21:16, , 163F
推個 感謝i大
05/15 21:16, 163F
※ 編輯: imasa (114.42.160.182), 05/15/2017 22:59:54

05/16 14:10, , 164F
感謝
05/16 14:10, 164F
文章代碼(AID): #1P5XlQ2g (AntiVirus)
討論串 (同標題文章)
文章代碼(AID): #1P5XlQ2g (AntiVirus)